Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las últimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las últimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las últimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en WooCommerce Multiple Addresses para WordPress (CVE-2025-4335)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento WooCommerce Multiple Addresses para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta la 1.0.7.1 incluida. Esto se debe a restricciones insuficientes en los metadatos de usuario, que se pueden actualizar mediante la función save_multiple_shipping_addresses(). Esto permite que atacantes autenticados, con acceso de suscriptor o superior, eleven sus privilegios a los de administrador.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en WPshop 2 – E-Commerce para WordPress (CVE-2025-3853)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento WPshop 2 – E-Commerce para WordPress es vulnerable a una Referencia Directa a Objetos Insegura en las versiones 2.0.0 a 2.6.0 mediante callback_generate_api_key() debido a la falta de validación en una clave controlada por el usuario. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, creen claves API válidas en nombre de otros usuarios.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en CarDealerPress para WordPress (CVE-2025-3860)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento CarDealerPress para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro 'saleclass' en todas las versiones hasta la 6.7.2504.00 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en PeproDev Ultimate Profile Solutions para WordPress (CVE-2025-3921)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento PeproDev Ultimate Profile Solutions para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función handel_ajax_req() en las versiones 1.9.1 a 7.5.2. Esto permite que atacantes no autenticados actualicen metadatos arbitrarios de usuarios, lo que puede utilizarse para impedir que un administrador acceda a su sitio cuando wp_capabilities está configurado a 0.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en PeproDev Ultimate Profile Solutions para WordPress (CVE-2025-3924)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento PeproDev Ultimate Profile Solutions para WordPress es vulnerable al acceso no autorizado a datos a través de su endpoint de restablecimiento de contraseña, expuesto públicamente. El complemento busca el valor 'valid_email' basándose únicamente en el parámetro de nombre de usuario proporcionado, sin verificar que el solicitante esté asociado a esa cuenta de usuario. Esto permite a atacantes no autenticados enumerar las direcciones de correo electrónico de cualquier usuario, incluidos los administradores.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Relevanssi – A Better Search para WordPress (CVE-2025-4054)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento Relevanssi – A Better Search para WordPress es vulnerable a Cross-Site Scripting almacenado a través de la función de resaltados en todas las versiones hasta la 4.24.3 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes no autenticados inyectar scripts web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada a través de los resultados de búsqueda.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en Search Exclude para WordPress (CVE-2025-2821)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento Search Exclude para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función get_rest_permission en todas las versiones hasta la 2.4.9 incluida. Esto permite que atacantes no autenticados modifiquen la configuración del complemento, excluyendo contenido de los resultados de búsqueda.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en PeproDev Ultimate Profile Solutions para WordPress (CVE-2025-3844)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento PeproDev Ultimate Profile Solutions para WordPress es vulnerable a la omisión de autenticación en las versiones 1.9.1 a 7.5.2. Esto se debe a que la función handel_ajax_req() no tiene las restricciones adecuadas en la función change_user_meta, que permite establecer un código OTP e iniciar sesión con él. Esto permite que atacantes no autenticados inicien sesión como otros usuarios del sitio, incluidos los administradores.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
15/04/2026

Vulnerabilidad en Download Manager and Payment Form WordPress Plugin – WP SmartPay para WordPress (CVE-2025-3851)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento Download Manager and Payment Form WordPress Plugin – WP SmartPay para WordPress es vulnerable a una Referencia Directa a Objetos Insegura en las versiones 1.1.0 a 2.7.13 a través de la función "show()" debido a la falta de validación en una clave controlada por el usuario. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, vean datos de otros usuarios, como su dirección de correo electrónico, nombre y notas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
15/04/2026

Vulnerabilidad en WPshop 2 – E-Commerce para WordPress (CVE-2025-3852)
Fecha de publicación:
07/05/2025
Idioma:
Español
El complemento WPshop 2 – E-Commerce para WordPress es vulnerable a la escalada de privilegios mediante el robo de cuentas en las versiones 2.0.0 a 2.6.0. Esto se debe a que el complemento no valida correctamente la identidad del usuario antes de actualizar sus datos, como el correo electrónico y la contraseña, mediante la función update(). Esto permite que atacantes autenticados, con acceso de suscriptor o superior, cambien las contraseñas de usuarios arbitrarios, incluyendo las de administradores, y aprovechen esta situación para acceder a sus cuentas.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026

Vulnerabilidad en IBM i Netserver (CVE-2025-3218)
Fecha de publicación:
07/05/2025
Idioma:
Español
IBM i 7.2, 7.3, 7.4, 7.5 y 7.6 es vulnerable a ataques de autenticación y autorización debido a un procesamiento de validación incorrecto en IBM i Netserver. Un atacante malicioso podría aprovechar estas vulnerabilidades, junto con ataques de autenticación por fuerza bruta o para eludir las restricciones de autoridad, para acceder al servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
03/07/2025

Vulnerabilidad en PGS Core para WordPress (CVE-2025-0856)
Fecha de publicación:
06/05/2025
Idioma:
Español
El complemento PGS Core para WordPress es vulnerable al acceso no autorizado, la modificación y la pérdida de datos debido a la falta de comprobación de capacidad en varias funciones en todas las versiones hasta la 5.8.0 incluida. Esto permite que atacantes no autenticados añadan, modifiquen o modifiquen opciones del complemento.
Gravedad CVSS v3.1: ALTA
Última modificación:
15/04/2026
Suscribirse a Vulnerabilidades